EU General Data Protection Regulation (GDPR) – countdown of one more year

Die EU-Datenschutz-Grundverordnung – noch ein Jahr bis zur Anwendbarkeit

– bi-lingual posting / zweisprachiger Beitrag –

The European General Data Protection Regulation (GDPR) will become applicable throughout the European Union on 25 May 2018, with additional national legislation. By then, companies need to be compliant. The German Bundesrat has recently passed the new Bundesdatenschutzgesetz, which will adapt the European Regulation into national German law. This means that now there is full clarity about the wording of the new law.

From a practical perspective, the most important changes are:

• Administrative fines for the companies of up to 10 / 20 Mio EUR or up to 2 / 4 % of the total worldwide annual turnover, whichever is higher
• Legal claim for data subjects to compensation in case of material and – this is new -immaterial damages
• All of these changes are made significantly more threatening by the duty for companies to document and be able to demonstrate their data privacy system, which is in effect a reversal of the burden of proof.

Much has been written about the future changes based on the GDPR and its adaption into German law, such as a blog posting by Till Hoffmann-Remy on the changes for the protection of employee data and by Jan Heuer regarding the need to review and change existing works council agreements to be compliant with future law. In the following, we will give a few highlights with a focus on what needs to be done now.

• Get an overview:
  • What data have been saved in the company IT by whom, for how long, for what purpose and on which legal basis? Does this include private employee data?
  • What are the data flows to external recipients and third parties inside and outside of the EU?
  • What data processors are acting on behalf of the company?
  • Which data privacy procedures, policies and notices are currently in place?

• Gap analysis and implementation of changes

• • Housecleaning” of all unrequired data (in an employment context, this includes non-electronic data under German law)
  • Develop new employee/client notices observing the much more detailed information requirements under the GDPR
  • Draft or update IT/data privacy policies
  • Develop and draft a procedure for potential data breaches
  • Create procedures for data subject requests for information, correction and deletion of data (all of which have existed before but will require more detail and need to be taken much more seriously under the GDPR)
  • Implement new technical and organizational measures for technical data safety
  • Update the consent management
  • If legally required and not yet in place, appoint a Data Protection Officer (in Germany, the previous threshold of 10 or more employees with computer access will continue to be applicable)
  • If not yet in place, create a register of all data processing (Records of processing activities)
  • Implement, if required, a procedure for data portability
  • Implement, if required, a data protection impact assessment procedure
  • Review existing works council agreements for compliance with the requirements of the new GDPR, (re)negotiate works council agreements about implementation of all technical systems, all policies and procedures on data privacy

Die EU-Datenschutzgrundverordnung (DSGVO) wird vom 25. Mai 2018 an in der Europäischen Union anwendbar sein, ergänzt durch nationale Gesetze. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben der DSGVO umgesetzt haben und einhalten. Der Deutsche Bundesrat hat kürzlich dem neuen Bundesdatenschutzgesetz zugestimmt, welches die europäische Verordnung in das deutsche Recht übernehmen wird. Das bedeutet, dass nun Klarheit besteht über den Wortlaut des künftig anwendbaren Rechts.

Aus praktischer Sicht sind die wichtigsten Veränderungen:

• Geldbußen für Unternehmen von bis zu 10/20 Millionen Euro oder von bis zu 2/4 % des jährlichen weltweiten Umsatzes, je nachdem was höher ist;
• Gesetzlicher Anspruch der Betroffenen auf Schadensersatz für materielle und – insoweit neu – immaterielle Schäden;
• Diese Veränderungen sind für Unternehmen deutlich bedrohlicher als in der Vergangenheit aufgrund der Verpflichtung aus der DSGVO, alle Maßnahmen zur Einhaltung des Datenschutzes zu dokumentieren und darlegen zu können, was einer Beweislastumkehr gleich kommt.

Es ist viel geschrieben worden über die künftigen Veränderungen aufgrund der DSGVO und ihrer Übernahme in das deutsche Recht, so in einem Blogbeitrag von Till Hoffmann-Remy über die Veränderungen im Beschäftigtendatenschutz und von Jan Heuer über die Auswirkungen des neuen Datenschutzrechts auf existierende Betriebsvereinbarungen. Im Folgenden geben wir einen ersten Einblick, was nun zu tun ist.

• Einen Überblick bekommen:
  • Welche Daten sind in den IT-Systemen des Unternehmens von wem, für wie lange, für welchen Zweck, auf welcher Rechtsgrundlage gespeichert worden? Gehören hierzu auch private Beschäftigtendaten?
  • Welche Datenflüsse gibt es zu externen Empfängern und Dritten innerhalb und außerhalb der EU?
  • Welche Auftragsdatenverarbeiter sind für das Unternehmen tätig?
  • Welche Verfahren zum Datenschutz, welche Vorschriften und welche Informationsschreiben gibt es bereits?
• Prüfung auf Anpassungsbedarf und Umsetzung:
  • Gründliches Sichten und ggf. Löschen aller Daten, die nicht mehr benötigt werden (Im Hinblick auf Beschäftigtendaten gehören hierzu nach deutschem Recht auch nicht elektronisch gespeicherte Daten.)
  • Entwickeln von neuen Informationsschreiben an Arbeitnehmer oder Kunden über die gespeicherten Daten unter Berücksichtigung der deutlich gestiegenen Anforderungen nach der DSGVO.
  • Entwerfen oder Aktualisieren von internen IT-/Datenschutzvorschriften (Policies).
  • Entwerfen oder Aktualisieren einer Verhaltensanweisung für etwaige Datenschutzpannen
  • Entwickeln von Verhaltensanweisungen für den Umgang mit Anfragen von Betroffenen nach Information über, Berichtigung von oder Löschung von gespeicherten Daten (All diese Ansprüche gab es bereits zuvor; sie sind aber künftig deutlich detaillierter auszugestalten und ernster zu nehmen.)
  • Einführung oder Aktualisierung von technischen und organisatorischen Maßnahmen zur Gewährleistung von technischem Datenschutz
  • Verfahren zur Speicherung der Einwilligungserklärungen von Beschäftigten, Kunden etc.
  • Soweit rechtlich geboten und noch nicht vorhanden, ist ein Datenschutzbeauftragter zu ernennen. (In Deutschland ist das auch künftig erforderlich in allen Unternehmen, die wenigstens zehn Personen mit Zugang zu einem Computerarbeitsplatz beschäftigen)
  • Soweit noch nicht vorhanden, ist ein Verfahrensverzeichnis zu erstellen
  • Soweit erforderlich, ist ein Verfahren für die Übertragbarkeit von Daten zu entwickeln
  • Soweit erforderlich, ist ein Verfahren für die Datenschutz-Folgenabschätzung bei besonderen Datenverarbeitungsverfahren zu entwickeln.
  • Existierende Betriebsvereinbarungen sind daraufhin durchzusehen, ob sie die Anforderungen der neuen DSGVO erfüllen, ferner sind Betriebsvereinbarungen über die Einführung aller genannten technischen Systeme, Verhaltensanweisungen und Vorschriften (soweit erforderlich, erstmals) zu verhandeln.